Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 13/08/2012, à 14:25

herfrayg

Utilité du Chroot Postfix face aux problèmes LDAPS

Bonjour tout le monde,

Voilà, à travers la config que j'ai faite de Postfix, j'ai deux solutions pour faire fonctionner Postfix correctement :

- Utiliser le protocole LDAP sans TLS/SSL
- Utiliser le protocole LDAPS, mais dans ce cas, la seule solution que j'ai pu trouver de par des heures de recherche est de sortir smtpd, trivial-rewrite et cleanup du chroot.

J'ai une seule question :

La doc précise que le Chroot de Postfix est là pour des raisons de sécurité, surtout lorsqu'il y a des processus extérieurs.
Du coup, quelles sont les conséquences en terme de risques de virer postfix de son chroot ?

À moins que quelqu'un n'ait un tuto pour expliquer comment faire fonctionner le parcours d'un annuaire LDAPS depuis un postfix s'exécutant en chroot.

Symptome :
Lorsque j'appelle en telnet mon serveur smtp, celui-ci bloque après la commande MAIL FROM: (aucune réponse et aucune possibilité de saisir quelque commande supplémentaire que ce soit)

Config :
Liens symboliques créés pour le répertoire /etc/ssl
Aussi bien dans /var/spool/postfix que dans /, l'utilisateur a accès en lecture à tous les certificats

Début d'un de mes fichiers /etc/postfix/ldap* :

server_host = ldaps://ldap.domain.com
server_port = 636

Extrait du log (trivial rewrite en verbose):

Lorsque je suis en chroot (échec):

Aug 13 15:30:11 vps2 postfix/trivial-rewrite[18431]: dict_ldap_lookup: No existing connection for LDAP source /etc/postfix/ldap-aliases.cf, reopening
Aug 13 15:30:11 vps2 postfix/trivial-rewrite[18431]: dict_ldap_connect: Connecting to server ldaps://ldap.domain.com
Aug 13 15:30:11 vps2 postfix/trivial-rewrite[18431]: dict_ldap_connect: Actual Protocol version used is 3.
Aug 13 15:30:11 vps2 postfix/smtpd[18416]: warning: problem talking to service rewrite: Success
Aug 13 15:30:11 vps2 postfix/qmgr[18411]: warning: problem talking to service rewrite: Connection reset by peer

Lorsque j'enlève le chroot (succès):

Aug 13 15:33:32 vps2 postfix/trivial-rewrite[18651]: dict_ldap_lookup: No existing connection for LDAP source /etc/postfix/ldap-aliases.cf, reopening
Aug 13 15:33:32 vps2 postfix/trivial-rewrite[18651]: dict_ldap_connect: Connecting to server ldaps://ldap.domain.com
Aug 13 15:33:32 vps2 postfix/trivial-rewrite[18651]: dict_ldap_connect: Actual Protocol version used is 3.
Aug 13 15:33:32 vps2 postfix/trivial-rewrite[18651]: dict_ldap_connect: Binding to server ldaps://ldap.domain.com as dn cn=adminlogin,dc=domain,dc=com

Je précise que la config de ces fichiers est à priori bonne, puisque ça fonctionne nickel en enlevant Postfix, Cleanup et Trivial-rewrite du chroot.

Merci à vous.

Cordialement

Dernière modification par herfrayg (Le 13/08/2012, à 14:41)

Hors ligne

#2 Le 16/08/2012, à 14:07

Pseudo supprimé

Re : Utilité du Chroot Postfix face aux problèmes LDAPS

d'après le doc,
"Les sites exigeant un haut niveau de sécurité considéreront sans doute que tous les démons accessibles par réseau doivent être en cage : les processus smtp(8) et smtpd(8), et peut-être le client lmtp(8). " (Lancer Postfix en environnement "chroot")

trivial-rewrite et cleanup ne semblent pas prioritaires.

Pages : 1